Accédez aux réseaux de services via AWS PrivateLink - Amazon Virtual Private Cloud
PrésentationNoms d'hôte DNSRésolution DNSDNS privéSous-réseaux et zones de disponibilitéTypes d'adresses IP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez aux réseaux de services via AWS PrivateLink

Vous pouvez vous connecter en privé à un réseau de service depuis votre VPC à l'aide d'un point de terminaison VPC du réseau de services (point de terminaison du réseau de services). Un point de terminaison de réseau de services vous permet d'accéder de manière privée et sécurisée aux ressources et aux services associés au réseau de services. De cette façon, vous pouvez accéder de manière privée à plusieurs ressources et services via un seul point de terminaison VPC.

Un réseau de services est un ensemble logique de configurations de ressources et de services VPC Lattice. À l'aide d'un point de terminaison de réseau de services, vous pouvez connecter un réseau de services à votre VPC et accéder à ces ressources et services de manière privée depuis votre VPC ou sur site. Un point de terminaison de réseau de services vous permet de vous connecter à un réseau de service. Pour vous connecter à plusieurs réseaux de services depuis votre VPC, vous pouvez créer plusieurs points de terminaison de réseau de services, chacun pointant vers un réseau de service différent.

Les réseaux de service sont intégrés à AWS Resource Access Manager (AWS RAM). Vous pouvez partager votre réseau de service avec un autre compte via AWS RAM. Lorsque vous partagez un réseau de service avec un autre AWS compte, ce compte peut créer un point de terminaison de réseau de services pour se connecter au réseau de services. Vous pouvez partager un réseau de service à l'aide d'un partage de ressources AWS RAM.

Utilisez la AWS RAM console pour afficher les partages de ressources auxquels vous avez été ajouté, les réseaux de services partagés auxquels vous pouvez accéder et les AWS comptes qui ont partagé les ressources avec vous. Pour plus d'informations, consultez la section Ressources partagées avec vous dans le Guide de AWS RAM l'utilisateur.

Tarification

Les configurations de ressources associées à votre réseau de services vous sont facturées à l'heure. Vous êtes également facturé par Go de données traitées lorsque vous accédez aux ressources via le point de terminaison VPC du réseau de services. Le point de terminaison VPC du réseau de services lui-même ne vous est pas facturé à l'heure. Pour en savoir plus, consultez Pricing Amazon VPC Lattice (Tarification).

Table des matières

Présentation

Vous pouvez soit créer votre propre réseau de service, soit partager un réseau de service avec vous à partir d'un autre compte. Dans tous les cas, vous pouvez créer un point de terminaison de réseau de services pour vous y connecter depuis votre VPC. Pour plus d'informations sur la création d'un réseau de services et l'association de configurations de ressources à celui-ci, consultez le guide de l'utilisateur Amazon VPC Lattice.

Le schéma suivant montre comment un point de terminaison d'un réseau de services de votre VPC accède à un réseau de services.

Un point de terminaison d'un réseau de services se connecte à un réseau de services.

Les connexions réseau ne peuvent être initiées que depuis le VPC qui possède le point de terminaison du réseau de services vers les ressources et les services du réseau de services. Le VPC doté des ressources et des services ne peut pas établir de connexions réseau avec le VPC du point de terminaison.

Noms d'hôte DNS

Avec AWS PrivateLink, vous envoyez du trafic vers des réseaux de service à l'aide de points de terminaison privés. Lorsque vous créez un point de terminaison VPC de réseau de services, nous créons des noms DNS régionaux (appelés nom DNS par défaut) pour chaque ressource et service que vous pouvez utiliser pour communiquer avec la ressource et le service depuis votre VPC et depuis votre site.

Le nom DNS par défaut d'une ressource du réseau de service possède la syntaxe suivante :

endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

Le nom DNS par défaut d'un service Lattice dans le réseau de services possède la syntaxe suivante :

endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.aws

Si vous utilisez le AWS Management Console, vous pouvez trouver le nom DNS sous l'onglet Associations. Si vous utilisez le AWS CLI, utilisez la describe-vpc-endpoint-associationscommande.

Vous ne pouvez activer le DNS privé que lorsque votre réseau de service dispose d'une configuration de ressources de type ARN pour un service de base de données Amazon RDS. Avec le DNS privé, vous pouvez continuer à envoyer des demandes à la ressource en utilisant le nom DNS fourni pour la ressource par le AWS service, tout en tirant parti de la connectivité privée via le point de terminaison VPC du réseau de services. Pour de plus amples informations, veuillez consulter Résolution DNS.

Résolution DNS

Lorsque vous créez un point de terminaison de réseau de services, nous créons des noms DNS pour chaque configuration de ressources et chaque service Lattice associé au réseau de services. Ces enregistrements DNS sont publics. Par conséquent, ces noms DNS peuvent être résolus publiquement. Cependant, les requêtes DNS provenant de l'extérieur du VPC renvoient toujours les adresses IP privées des interfaces réseau du point de terminaison du réseau de service. Vous pouvez utiliser ces noms DNS pour accéder aux ressources et aux services sur site, à condition d'avoir accès au VPC dans lequel se trouve le point de terminaison du réseau de services, via VPN ou Direct Connect.

DNS privé

Si vous activez le DNS privé pour le point de terminaison VPC de votre réseau de services et que les noms d'hôte DNS et la résolution DNS sont activés sur votre VPC, nous créons des zones hébergées privées masquées et AWS gérées pour les configurations de ressources dotées de noms DNS personnalisés. La zone hébergée contient un ensemble d'enregistrements pour le nom DNS par défaut de la ressource qui le résout en adresses IP privées des interfaces réseau du point de terminaison du réseau de services dans votre VPC.

Amazon fournit un serveur DNS pour votre VPC, appelé Route 53 Resolver. Route 53 Resolver résout automatiquement les noms de domaine VPC locaux et enregistre dans des zones hébergées privées. Toutefois, vous ne pouvez pas utiliser Route 53 Resolver en dehors de votre VPC. Si vous souhaitez accéder à votre point de terminaison VPC depuis votre réseau local, vous pouvez utiliser les noms DNS par défaut ou les points de terminaison Route 53 Resolver et les règles du résolveur. Pour plus d'informations, consultez la section Intégration AWS Transit Gateway avec AWS PrivateLink et Amazon Route 53 Resolver.

Sous-réseaux et zones de disponibilité

Vous pouvez configurer votre point de terminaison d'un VPC avec un sous-réseau par zone de disponibilité. Nous créons une interface réseau élastique pour le point de terminaison VPC de votre sous-réseau. Nous attribuons des adresses IP à chaque interface elastic network à partir de son sous-réseau par multiples de /28, si le type d'adresse IP du point de terminaison VPC est. IPv4 Le nombre d'adresses IP attribuées à chaque sous-réseau dépend du nombre de configurations de ressources et nous ajoutons des blocs /28 supplémentaires IPs selon les besoins. Dans un environnement de production, pour une disponibilité et une résilience élevées, nous recommandons de configurer au moins deux zones de disponibilité pour chaque point de terminaison VPC et de disposer IPs d'une zone contiguë.

Types d'adresses IP

Les points de terminaison du réseau de services peuvent prendre en charge des adresses ou IPv4 des adresses à IPv6 double pile. Les points de terminaison compatibles IPv6 peuvent répondre aux requêtes DNS avec des enregistrements AAAA. Le type d'adresse IP d'un point de terminaison de réseau de services doit être compatible avec les sous-réseaux du point de terminaison de ressource, comme décrit ici :

  • IPv4— Attribuez IPv4 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d' IPv4 adresses.

  • IPv6— Attribuez IPv6 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.

  • Dualstack — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.

Si un point de terminaison VPC d'un réseau de services le prend en charge IPv4, les interfaces réseau du point de terminaison ont des adresses. IPv4 Si un point de terminaison VPC d'un réseau de services le prend en charge IPv6, les interfaces réseau du point de terminaison ont des adresses. IPv6 L' IPv6 adresse d'une interface réseau de point de terminaison n'est pas accessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une IPv6 adresse, notez qu'elle denyAllIgwTraffic est activée.